利用多层次安全访问控制措施确保网络安全.pdfVIP

维普资讯 湖 南 电 力 第26卷 ／2006年信息增刊 利用多层次安全访问控制措施确保网络安全 沈桂诚 ，于彩葵 ，‘许振林 ，‘王岿然 ，贺力伟 (1．湖南永州电业局 ，湖南 永t,1{425000；2．湖 南邵 阳电业局，湖南 邵阳422000) 摘 要：结合永州电业局的实际，介绍了在防火墙、核心网络设备、工作站、服务器等 各层面设置安全访问控制措施 ，辅 以企业级防病毒软件、IDS、漏洞扫描软件等网络安全 工具，形成纵深安全防御体 系，确保网络安全的方案。 关键词 ：VACI；TCP／IP筛选 ；按需开放服务 中图分类号 ：TP393 文献标识码 ：A 文章编号 ：1008—0198 (2006)S一0050—04 O 引 言 联合防护，协同处置；打防结合，以防为主。 1．2 安全策略 随着互联网的 日益普及和信息技术在永州电业 边界封锁，内部隔离，终端防杀，全面覆盖，重 局 的广泛应用，信息系统及计算机网络 已成为人们 点保护。 不可或缺的基础平 台，它大大地提升了工作效率 ，大 1．3 方案涵盖范围 大的丰富了业余生活。然而，事物总是有其两面性， 局本部计算机信息系统及局域网络。 信息系统及 网络带给人们高效率高效益 的同时，也 1．4 方法概述 带来了许多潜在的危险一病毒 、后 门、黑客 、木马 a．在隔离 内网与Internet的防火墙上，阻塞所 等恶意程序 ，一旦 中招 ，轻则影响性能、中断网络 ， 有Internet主动发起的TCP／IP连接，以切断Inter— 重则损坏系统、影响工作，甚至导致重要资料泄密， net直接向内网进行的攻击 。 重要数据丢失 ，使企业蒙受重大损失。部署在网络 b．在隔离局本部与各二级单位、湖南省电力公 上的关键业务越多，网络安全风险就越大，随着电 司广域网的防火墙上设置下列访问措施 ：只开放必 力营销系统和生产管理系统、人力资源系统即将在 需的IP地址、必需的端 口，阻塞其余访问流量。尽 永州 电业局推广使用，网络安全形势将愈来愈严峻。 量减少上下级单位网络对永州 电业局本部网络的安 经过一段时间的摸索，并通过反复试验，提出 全威胁。 了确保永州电业局网络安全的方案，并已成功实施 C．在核心网络设备上设置下列访问措施：对于 (见图1)。 服务器VIAN，只开放必需的1P地址 、必需的端 口， 阻塞其余访问流量；阻塞各部 门、各二级单位VIAN 的互访 (除少数服务器开放必需的服务外)。尽量减